バージョン選択

フォーラム

メニュー

オンライン状況

20 人のユーザが現在オンラインです。 (14 人のユーザが フォーラム を参照しています。)
登録ユーザ: 0
ゲスト: 20
もっと...

サイト内検索

質問 > フロント機能 > WAFでトークンが脆弱性に引っかかる

フロント機能

新規スレッドを追加する

スレッド表示 | 新しいものから 前のトピック | 次のトピック | 下へ
投稿者 スレッド
TAKATSU
投稿日時: 2021/4/19 14:17
対応状況: −−−
新米
登録日: 2021/4/19
居住地:
投稿: 1
WAFでトークンが脆弱性に引っかかる
同様の事象が発生してる方おられましたら、
対策方法などアドバイスいただけますでしょうか?

[現象]
Microsoft Azure上にEC-CUBEを構築しています。
EC-CUBEの前にAzure Web アプリケーション ファイアウォール(WAF)を設置しています。
WAFのルールとして「OWASP 3.0」を適用していますが、
ログイン時に発行する「_csrf_token」と
カートに入れるときの「_token」が
WAFのルールにひっかかるトークンの場合があります。

一つが、「942440 SQL コメント シーケンスが検出されました。」で、トークンの中に「ハイフン(-)」が連続している場合があり、SQLインジェクションだと判断されてます。

もう一つが、「942450 SQL 16 進数エンコードが識別されました」でトークンの中に「0Xa0」などの16進数の形式の文字列が入る場合に、攻撃だとみなされてエラーとなります。

OWASP3.0のWAFを入れておられる方は、どう対処されているんでしょうか?
そもそも、EC-CUBEではこれらの脆弱性には対処できないのでしょうか?

お知恵をお貸ください。
よろしくお願いします



[EC-CUBE] 4.0.3 新規インストール
[レンタルサーバ] Microsoft Azure
[OS] Windows Server 2019
[PHP] 7.3.13
[データベース] Postgresql 10.11
[WEBサーバ] apache
[導入プラグインの有無]
商品オプションプラグイン1.0.11
ユーザー名ログインプラグイン for EC-CUBE4 1.0.1
商品並び替えプラグイン 1.0.3
Buchiii
投稿日時: 2021/4/24 17:11
対応状況: −−−
半人前
登録日: 2020/10/9
居住地:
投稿: 30
Re: WAFでトークンが脆弱性に引っかかる
Microsoft Azureを使ったことがないので、
異なるかもしれませんが、
AWSのAWS WAFを導入した際に基本のルール(AWS-AWSManagedRulesCommonRuleSet)を設定しても
EC-CUBE標準の各動作がルールに引っかかりブロックされてしまいます。

- 管理画面>商品CSVアップロード:リクエストBodyサイズの上限に引っかかる。
- 管理画面>コンテンツ管理>ページ管理、ブロック管理:クロスサイトスクリプティングの攻撃とみなされる

など。

私の場合では
上記の内容は攻撃でも脆弱性でもないため、AWS WAFの設定にてルールからブロックを行なった個別のルール(SizeRestrictions_BODYなど)の制限を、各画面へのアクセスに対して外すよう設定しております。

Microsoft Azureでも同じようにWAFのルールをさらに調整することが
対策の1つかもしれません。

参考になりますと幸いです。
balisys
投稿日時: 2022/12/30 18:35
対応状況: −−−
仙人
登録日: 2020/7/5
居住地:
投稿: 398
Re: WAFでトークンが脆弱性に引っかかる
Azureが提供しているWAFの設定内容がわかりかねるのですが、
攻撃として検知される対象ページのみ、該当ルールの除外または調整を行う、といった設定が出来るのであればそのような形で調整する形になるのかと思います。
スレッド表示 | 新しいものから 前のトピック | 次のトピック | トップ


 



ログイン


EC-CUBE公式 Amazon Payプラグイン

統計情報

総メンバー数は89,435名です
総投稿数は110,087件です

投稿数ランキング

1
seasoft
7367
2
468
3217
3
AMUAMU
2712
4
nanasess
2314
5
umebius
2085
6
yuh
1819
7
h_tanaka
1652
8
red
1570
9
mcontact
1305
10
tsuji
958
11
fukap
907
12
shutta
835
13
tao_s
799
14 ramrun 789
15 karin 689
16 sumida 641
17
homan
633
18 DELIGHT 572
19
patapata
502
20
flealog
485


ネットショップの壺

EC-CUBEインテグレートパートナー

Copyright© EC-CUBE CO.,LTD. All Rights Reserved.